日銀内部資料、Winnyネットワーク上に流出 - P2Pとかその辺のお話@はてな

　日本銀行松江支店（松江市）が金融機関を検査した際に作成した内部資料の一部が、インターネット上に流出したことが２２日分かった。
東京新聞:日銀内部資料が流出　松江支店の金融機関検査:社会(TOKYO Web)

昨日から気になってて本当に日銀かよ、と思ってたら本当だったよというお話。昨日の晩に行われた削除依頼も本物だったのね。いたずらかも、というところがあったのだけれども、当事者が確認していることを考えると本当に情報漏えい事件なんだろう。
発端はおそらくダウンロード板の仁義なきキンタマスレ。その3時間後にニュー速にもスレが立てられて多くの人が知るところとなった模様。

　同支店の臼井正樹次長は「ウィニーを通じて流出した可能性もある。規模の全容がつかめておらず、調査中」と話している。

Winnyを利用していなければ、おそらくはこうした情報は漏れることはないのだろうから、この情報を持っている人が何かしらの理由でWinnyを利用していたのだろう。また、今年3月11日付の書類も含まれていたことから、今回の情報漏えいはここ数日のものと考えられる。
ただ気になるのがこのファイル名の「boj(27771499)のドキュメント.zip」。
２ちゃんねるでは、bojってBank Of Japan（日本銀行：http://www.boj.or.jp/）じゃね？なんて指摘がされているのだけれど、確かにユーザ名としてはちょっとおかしい。~~内部からWinnyを利用していたのか、それとも職務用に提供されているPCでWinnyを利用していたのか、~~それとも私用PCにbojというアカウントを作成していたのか。
流出経路の可能性としては、同支店の職員本人が上記いずれかのPCでWinnyを利用したことで感染、もしくは後二者のPCを職員以外の第三者が利用して感染、が考えられる。いずれにしても、内部資料が保存されているPCで外部ネットワークに接続する、そのようなPCを第三者に利用させるというのは、問題かも。ただ、もう1つの可能性としては、このような情報を手に入れた人が何らかの目的で、意図的に流出させたということ。もちろん、何の根拠もなくそのようなことはいいにくいのだけれども*1、可能性としては考えられるよね。
いずれにしても、情報管理は徹底しないといけないよねぇと思う次第です。
余談だけれども、

31 名前：プロ棋士(dion軍)：2008/03/21(金) 19:02:47.72 id:D7kJ6rVB0
＞平成２０年度の検査対象店舗を漏らしたって？？？？
＞良いのか？？？？

マジかこれ？洒落にならんぞ

32 名前：造反組(dion軍)：2008/03/21(金) 19:03:45.09 id:TWTBrozH0
>>31
だからnyなんじゃね
http://namidame.2ch.net/test/read.cgi/news/1206089050/

ありがちな流れだけど、いつも噴いてしまう。

リスクのモノサシ―安全・安心生活はありうるか (NHKブックス)

作者: 中谷内一也
出版社/メーカー: 日本放送出版協会
発売日: 2006/07/01
メディア: 単行本
購入: 9人クリック: 80回
この商品を含むブログ (14件) を見る

追記（08/03/22 16:15）

日本銀行松江支店が記者会見を開き、この件について謝罪し、経緯を説明したようだ。
毎日.jpによると、

業務課の男性職員が自宅に持ち帰った私有パソコンが、ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」の暴露ウイルスに感染したのが原因
〜中略〜
　同支店の調査に対し、男性職員は「ワードやエクセルの資料を自宅に持ち帰り、私有パソコンで使用した。パソコンにはウィニーが入っていたが、削除したつもりだった」と話した。
情報流出：ネット上に金融機関の検査資料が　日銀松江支店 - 毎日ｊｐ(毎日新聞)

とのことで、言葉通りに捉えるとすればウィルスに感染していた私有PCに資料を保存していた、ということだろうか。ただ、bojってアカウント名を考えると、腑に落ちないことが多いけどなぁ。もちろん、行内でWinnyを使っていたなんてことは考えてはいないけど*2、たとえWinnyを削除していたといっても、当該の職員のPC/ネットワークの意識は扱う情報、責任と比べてあまり高くなかったのかなと思える。
また、データの持ち帰りに関しては、

業務用パソコン内にあったデータを、男性職員が上司の許可を得ずにフロッピーで持ち出し、（中略）男性職員は２００６年１月から今年３月まで計３９種類を持ち帰っていた。
日銀松江支店の情報、ネット流出…金融機関の検査文書など（読売新聞） - Yahoo!ニュース

まぁ、情報漏えいがどこで始まったか、というと内部文書の持ち出しをした時点ということになるのかな。Winnyへの漏えいは二次的なもの、と考えたほうが良いだろう。
また、Winnyを介して広まったことで、２ちゃんねるをはじめ、さまざまなWebサイトがこの件を報じ、その中には三次的な内部文書の拡散のお手伝いのようなことをしているところもある。日銀のほうでも、そうしたサイトを確認し次第削除を要請しているようだけれども、しばらくはいたちごっこが続くことだろう。
サイトに対してはこうした対策を取っているものの、Winnyネットワーク上に拡散している内部文書については即座に削除するということは難しいだろう。とはいえ、某社が偽キーをばら撒いてくれているようで、多少の抑制にはなっているようだ。ただ、結局は入手されているようだけれど。
そんなわけで産経も入手できているようだ。

うーん。とりあえず情報管理システムを見直す、というのは1つ必要な措置ではあるのだけれども、個々人の情報管理意識を高めるということも重要だよなぁと思う。Winnyは違法ファイル共有が盛んに行われているということもあって、Winnyをうまく利用しましょう、とはなかなか言いがたい状況にはあるのだけれども、現実としてWinnyを利用し、ウィルスに感染して情報を漏洩させてしまう人がいる以上、割り切って考える必要もあるのかもね。数年前にフジテレビ「とくダネ！」でこんなフリップが出たって事でしばしばネタにされているけど

個人的にはそれもアリなんじゃないかと思える。もちろん、これを伝える側の意図としては違法共有を認めているわけじゃなく、どうやっても使う人がいるという現実を考慮しているだけ、なんだろうけどね。

*1:ともすれば陰謀論だしね

*2:さすがにセキュリティが甘いといっても限度があるし･･･